Das indische Ministerium für Kommunikations- und Informationstechnologie hat in einer kürzlich veröffentlichten Pressemitteilung die Debatte um die praktischen Auswirkungen des neuen indischen Datenschutzrechts für die weltweite Outsourcingindustrie beendet. Das Ministerium stellte klar, dass nationale Outsourcingdienstleister von der Pflicht zur Einholung einer ausdrücklichen Einwilligung Betroffener in die Verarbeitung "sensibler" personenbezogener Daten ausgenommen sind.
Anlass der Debatte war eine im April diesen Jahres in Kraft getretene Gesetzesänderung ("Information Technology Rules 2011 on reasonable security practices and procedures and sensitive personal data and information" zur Änderung des "Information Technology Acts 2000"), die unter anderem indischen Datenverarbeitern Pflichten zur Datensicherheit auferlegt und die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten nach europäischem Vorbild einschränkt.
Im Zentrum der Diskussionen über die praktischen Auswirkungen des neuen Rechts für die Outsourcingindustrie stand jedoch das Einwilligungserfordernis nach Ziffer 43A des Information Technology Acts 2000. Danach sollte die rechtmäßige Verarbeitung besonderer ("sensibler") Arten personenbezogener Daten (hierbei handelt es sich nach indischem Datenschutzrecht um Gesundheitsdaten, Informationen über die sexuelle Orientierung einer Person sowie biometrische Daten, Passwörter, Kreditkarten- und sonstige Bankdaten) von der Erteilung einer Einwilligung durch die Betroffenen abhängen. Dies hätte indische Outsourcingdienstleister vor erhebliche Schwierigkeiten gestellt. Diensteanbieter haben in der Regel keinen direkten Kontakt zu den Personen, deren Daten sie im Auftrag Dritter verarbeiten. Die rechtmäßige Verarbeitung sensibler Daten durch indische Provider wäre somit in Zukunft nahezu unmöglich gewesen. Unternehmen haben weitreichende negative Folgen für Outsorcingprojekte in Indien befürchtet.
Das indische Ministerium für Kommunikations- und Informationstechnologie hat nun in einer am 24. August 2011 veröffentlichten Pressemitteilung (Clarification on Information Technology Rules, 2011 under Section 43 A of the Information Technology Act, 2000) klargestellt, dass Stellen, die personenbezogene Daten im Auftrag inländischer und ausländischer Auftraggebern von dem Einwilligungserfordernis ausgenommen sind. Das Einwilligungserfordernis findet vielmehr nur dann Anwendung, wenn die Daten direkt bei den Betroffenen erhoben werden.